SlideShare une entreprise Scribd logo

Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013

C
Certilience

Présentation Securité et Open Source sur Solutions Linux Mai 2013, Stand Alter Way

Technologie
1  sur  19
Télécharger pour lire hors ligne
p. 1 Open Source et Sécurité Solutions Linux / Mai 2013 Open Source et Sécurité
p. 2 Agenda • Introduction • Les attaques (Extract) – XSS (Permanente, réfléchi, DOM) – Injections ( SQL, LDAP, … ) – ... • Démonstration • Scénario • Préconisations
p. 3 Des Vulnérabilités ? • Dans les CMS : – En Mai sur Wordpress Core + plugins > 25 vulnérabilités – En Avril sur Drupal + Modules > 5 vulnérabilités • Nginx ? DoS (ref : CVE-2013-2028) Focus Web...
p. 4 Les Attaques
p. 5 XSS ( Cross Site Scripting ) • Contrôler le contenu de la page • Permanente – Exemple : Commentaire sans filtrage dans un CMS ou un Forum • Réfléchi – Exemple : Echange d'un lien http://www.banque.com/?href=[CHARGE] • Redirection ? • Exploitation d'une vulnérabilité sur le navigateur
p. 6 Injection SQL • Détourner une requête – Portail d'authentification – Fiche Article • Ex : – SELECT * from users where username='$username' and password = '$password' – => – SELECT * from users where username='test' and password = 'test' or username = 'admin'
p. 7 Injection LDAP, Sys • Détourner une requête – LDAP, caractères : ( ) | * – Sys : ; & |
p. 8 Démonstration
p. 9 Scénario 1/2 • Recherche d'informations sur le site • Identification d'une vulnérabilité : – Injection SQL ? Dépose de fichiers ? Mot de passe faible ? Recherche des répertoires. • Dépose du code (Normalement des privilèges limités : apache,tomcat, ...)
p. 10 Scénario 2/2 • Elévation de privilèges : – Vuln kernel? – Backup, script ? Clef ? • La machine est compromise. • Dépose d'une backdoor sur la machine – Rootkit dans les couches du noyau – Rootkit pour remplacer les commandes – On efface les traces
p. 11 Préconisations
p. 12 Correction de code • Utilisation de guides, ex : OWASP – TOP10 • Tests pour valider la niveau de sécurité de mon application. • Les bonnes solutions (whitelist, …) • ...
p. 13 Architecture • Firewall • DMZ de services • Limiter les flux in/out du serveur
p. 14 Hardening système • Bonne configuration du serveur – Restriction des services – Minimum de privilèges – Restrictions sur le SSH ( root / password / users)
p. 15 Hardening Apache • Directive – ServerTokens – ServerSignature • Désactiver le listage des répertoires • Désactivation de certains modules
p. 16 Hardening de l'application (ex : php) • Désactivation des erreurs PHP • Bannière expose_php • Restriction des include • ...
p. 17 Ajoutons une couche • mod_security : Le WAF OpenSource – Validation des variables – Détection d'erreurs • Fail2ban : Regex on logs – Il est possible de le coupler à mod_security
p. 18 Veille sécurité • Tracking sur vos produits • Procédure de mise à jour : – Sur le système – Sur les CMS
p. 19 Merci, contact@certilience.fr CERTILIENCE 513, rue Sans Souci 69760 LIMONEST -France

Recommandé

Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Hacking Open source et Sécurité, préconisations
Hacking Open source et Sécurité, préconisationsHacking Open source et Sécurité, préconisations
Hacking Open source et Sécurité, préconisationsCertilience
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoFrederic Leger
 
BC Breaks - Incompatibilites PHP7
BC Breaks - Incompatibilites PHP7BC Breaks - Incompatibilites PHP7
BC Breaks - Incompatibilites PHP7Darkmira
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009FAN Fully Automated Nagios
 
Ocs
OcsOcs
Ocssamovich
 
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2Paris Monitoring
 

Recommandé

Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceCertilience
 
Hacking Open source et Sécurité, préconisations
Hacking Open source et Sécurité, préconisationsHacking Open source et Sécurité, préconisations
Hacking Open source et Sécurité, préconisationsCertilience
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
Maltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoMaltacademy: securing your k8s cluster with CNCF falco
Maltacademy: securing your k8s cluster with CNCF falcoFrederic Leger
 
BC Breaks - Incompatibilites PHP7
BC Breaks - Incompatibilites PHP7BC Breaks - Incompatibilites PHP7
BC Breaks - Incompatibilites PHP7Darkmira
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009FAN Fully Automated Nagios
 
Ocs
OcsOcs
Ocssamovich
 
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2
Unofficial Centreon Repositories for Debian - Paris Monitoring meetup #2Paris Monitoring
 
Journées du Logiciel Libre 2008
Journées du Logiciel Libre 2008Journées du Logiciel Libre 2008
Journées du Logiciel Libre 2008FAN Fully Automated Nagios
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceFrederic Leger
 
Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChristophe Villeneuve
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQubeVincent Biret
 
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN Fully Automated Nagios
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009FAN Fully Automated Nagios
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009FAN Fully Automated Nagios
 
SUNWjass SST Workshop Mai 2010 [Mode D
SUNWjass SST Workshop Mai 2010 [Mode DSUNWjass SST Workshop Mai 2010 [Mode D
SUNWjass SST Workshop Mai 2010 [Mode DStephane Konan
 
Zabbix
ZabbixZabbix
Zabbixkamiloo2009
 
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"Denis Voituron
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webChristophe Villeneuve
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3Rabolliot
 
Azure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAzure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAymeric Weinbach
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?Sylvie CECI
 
Ze cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreZe cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreAymeric Weinbach
 
Nuxeo5 - Installation Integration Continue
Nuxeo5 - Installation Integration ContinueNuxeo5 - Installation Integration Continue
Nuxeo5 - Installation Integration ContinuePASCAL Jean Marie
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeursChristophe Villeneuve
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet ZabbixSamiMessaoudi4
 
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesDrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesAurelien Navarre
 
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Jérôme Petazzoni
 

Contenu connexe

Tendances

Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceFrederic Leger
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQubeVincent Biret
 
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN Fully Automated Nagios
 
SUNWjass SST Workshop Mai 2010 [Mode D
SUNWjass SST Workshop Mai 2010 [Mode DSUNWjass SST Workshop Mai 2010 [Mode D
SUNWjass SST Workshop Mai 2010 [Mode DStephane Konan
 
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"Denis Voituron
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webChristophe Villeneuve
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3Rabolliot
 
Azure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAzure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAymeric Weinbach
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?Sylvie CECI
 
Ze cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreZe cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreAymeric Weinbach
 
Nuxeo5 - Installation Integration Continue
Nuxeo5 - Installation Integration ContinueNuxeo5 - Installation Integration Continue
Nuxeo5 - Installation Integration ContinuePASCAL Jean Marie
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeursChristophe Villeneuve
 

Tendances (20)

Journées du Logiciel Libre 2008
Journées du Logiciel Libre 2008Journées du Logiciel Libre 2008
Journées du Logiciel Libre 2008
 
Meetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a ServiceMeetup vault - ScaaS Secrets as a Service
Meetup vault - ScaaS Secrets as a Service
 
Chiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDBChiffrer et sécuriser MariaDB
Chiffrer et sécuriser MariaDB
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
 
#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube#MSDEVMTL Introduction à #SonarQube
#MSDEVMTL Introduction à #SonarQube
 
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
FAN, Fully Automated Nagios, Paris Capitale du Libre 2008
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009
 
SUNWjass SST Workshop Mai 2010 [Mode D
SUNWjass SST Workshop Mai 2010 [Mode DSUNWjass SST Workshop Mai 2010 [Mode D
SUNWjass SST Workshop Mai 2010 [Mode D
 
Zabbix
ZabbixZabbix
Zabbix
 
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
MIC QRS "JWT, la superstar pour sécuriser vos WebAPI"
 
L'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures webL'open source dans les nouvelles architectures web
L'open source dans les nouvelles architectures web
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3
 
Azure camp 26 septembre tips and tools
Azure camp 26 septembre tips and toolsAzure camp 26 septembre tips and tools
Azure camp 26 septembre tips and tools
 
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
[Tutoriel] Comment activer le protocole SSL avec Le CMS Joomla ?
 
Ze cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembreZe cloud azure camp - 26 septembre
Ze cloud azure camp - 26 septembre
 
Nuxeo5 - Installation Integration Continue
Nuxeo5 - Installation Integration ContinueNuxeo5 - Installation Integration Continue
Nuxeo5 - Installation Integration Continue
 
PSES - La securite pour les développeurs
PSES - La securite pour les développeursPSES - La securite pour les développeurs
PSES - La securite pour les développeurs
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 

Similaire à Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013

DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesDrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesAurelien Navarre
 
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Jérôme Petazzoni
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireCyber Security Alliance
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...☁️Seyfallah Tagrerout☁ [MVP]
 
Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB MongoDB
 
Conférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrConférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrOxalide
 
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Pierre Ternon
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressourceAntoine Pouch
 
Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)Alexandre Marie
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur webNoël
 
Windows Azure, plongée en eaux profondes (300)
Windows Azure, plongée en eaux profondes (300)Windows Azure, plongée en eaux profondes (300)
Windows Azure, plongée en eaux profondes (300)Microsoft Décideurs IT
 
Re build Nantes 2013 SQL Server monitoring
Re build Nantes 2013 SQL Server monitoringRe build Nantes 2013 SQL Server monitoring
Re build Nantes 2013 SQL Server monitoringDavid BAFFALEUF
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frGaëtan Trellu
 
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Christophe Laporte
 
Laravel yet another framework
Laravel yet another frameworkLaravel yet another framework
Laravel yet another frameworkLAHAXE Arnaud
 
Retours Devoxx France 2016
Retours Devoxx France 2016Retours Devoxx France 2016
Retours Devoxx France 2016Antoine Rey
 
Rex docker en production meeutp-docker-nantes
Rex docker en production meeutp-docker-nantesRex docker en production meeutp-docker-nantes
Rex docker en production meeutp-docker-nantesChristophe Furmaniak
 

Similaire à Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013 (20)

DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesDrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
 
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
Docker : quels enjeux pour le stockage et réseau ? Paris Open Source Summit ...
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas Grégoire
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB Réussir une montée en charge avec MongoDB
Réussir une montée en charge avec MongoDB
 
Conférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.FrConférence AFUP 20minutes.Fr
Conférence AFUP 20minutes.Fr
 
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
Gestion de projet Drupal : quelques outils indispensables - OWS - Drupalcamp ...
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressource
 
Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)Drupal7 - Bonnes Pratiques (Partie 1)
Drupal7 - Bonnes Pratiques (Partie 1)
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
 
Windows Azure, plongée en eaux profondes (300)
Windows Azure, plongée en eaux profondes (300)Windows Azure, plongée en eaux profondes (300)
Windows Azure, plongée en eaux profondes (300)
 
Re build Nantes 2013 SQL Server monitoring
Re build Nantes 2013 SQL Server monitoringRe build Nantes 2013 SQL Server monitoring
Re build Nantes 2013 SQL Server monitoring
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-fr
 
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
Tout sur les solutions de haute disponibilité et disaster recovery de sql ser...
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
sshGate
sshGatesshGate
sshGate
 
Laravel yet another framework
Laravel yet another frameworkLaravel yet another framework
Laravel yet another framework
 
Retours Devoxx France 2016
Retours Devoxx France 2016Retours Devoxx France 2016
Retours Devoxx France 2016
 
Rex docker en production meeutp-docker-nantes
Rex docker en production meeutp-docker-nantesRex docker en production meeutp-docker-nantes
Rex docker en production meeutp-docker-nantes
 

Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013

  • 1. p. 1 Open Source et Sécurité Solutions Linux / Mai 2013 Open Source et Sécurité
  • 2. p. 2 Agenda • Introduction • Les attaques (Extract) – XSS (Permanente, réfléchi, DOM) – Injections ( SQL, LDAP, … ) – ... • Démonstration • Scénario • Préconisations
  • 3. p. 3 Des Vulnérabilités ? • Dans les CMS : – En Mai sur Wordpress Core + plugins > 25 vulnérabilités – En Avril sur Drupal + Modules > 5 vulnérabilités • Nginx ? DoS (ref : CVE-2013-2028) Focus Web...
  • 5. p. 5 XSS ( Cross Site Scripting ) • Contrôler le contenu de la page • Permanente – Exemple : Commentaire sans filtrage dans un CMS ou un Forum • Réfléchi – Exemple : Echange d'un lien http://www.banque.com/?href=[CHARGE] • Redirection ? • Exploitation d'une vulnérabilité sur le navigateur
  • 6. p. 6 Injection SQL • Détourner une requête – Portail d'authentification – Fiche Article • Ex : – SELECT * from users where username='$username' and password = '$password' – => – SELECT * from users where username='test' and password = 'test' or username = 'admin'
  • 7. p. 7 Injection LDAP, Sys • Détourner une requête – LDAP, caractères : ( ) | * – Sys : ; & |
  • 9. p. 9 Scénario 1/2 • Recherche d'informations sur le site • Identification d'une vulnérabilité : – Injection SQL ? Dépose de fichiers ? Mot de passe faible ? Recherche des répertoires. • Dépose du code (Normalement des privilèges limités : apache,tomcat, ...)
  • 10. p. 10 Scénario 2/2 • Elévation de privilèges : – Vuln kernel? – Backup, script ? Clef ? • La machine est compromise. • Dépose d'une backdoor sur la machine – Rootkit dans les couches du noyau – Rootkit pour remplacer les commandes – On efface les traces
  • 12. p. 12 Correction de code • Utilisation de guides, ex : OWASP – TOP10 • Tests pour valider la niveau de sécurité de mon application. • Les bonnes solutions (whitelist, …) • ...
  • 13. p. 13 Architecture • Firewall • DMZ de services • Limiter les flux in/out du serveur
  • 14. p. 14 Hardening système • Bonne configuration du serveur – Restriction des services – Minimum de privilèges – Restrictions sur le SSH ( root / password / users)
  • 15. p. 15 Hardening Apache • Directive – ServerTokens – ServerSignature • Désactiver le listage des répertoires • Désactivation de certains modules
  • 16. p. 16 Hardening de l'application (ex : php) • Désactivation des erreurs PHP • Bannière expose_php • Restriction des include • ...
  • 17. p. 17 Ajoutons une couche • mod_security : Le WAF OpenSource – Validation des variables – Détection d'erreurs • Fail2ban : Regex on logs – Il est possible de le coupler à mod_security
  • 18. p. 18 Veille sécurité • Tracking sur vos produits • Procédure de mise à jour : – Sur le système – Sur les CMS
  • 19. p. 19 Merci, contact@certilience.fr CERTILIENCE 513, rue Sans Souci 69760 LIMONEST -France